Verschlüsselung wurde nicht detailiert untersucht

Ein großer Streitpunkt beim BeA war bisher die verwendete Verschlüsselung. Ursprünglich hatte die Bundesrechtsanwaltskammer behauptet, dass es sich um eine Ende-zu-Ende-Verschlüsselung handele. Das ist allerdings nicht korrekt, da die Nachrichten in einem Hardware-Sicherheitsmodul (HSM) entschlüsselt und neu verschlüsselt werden.

Stellenmarkt
  1. Software Support Spezialisten (m/w/d)
    IGH Infotec AG, Langenfeld
  2. Manager (w/m/d) IT Systeme/QC
    STADA Arzneimittel AG, Bad Vilbel
Detailsuche

Die Verwendung des HSMs ist eine Grundsatzfrage, und alle bisherigen Aussagen der Bundesrechtsanwaltskammer deuten darauf hin, dass diese daran nichts ändern möchte. Eine Gruppe von Anwälten hat vor kurzem mit Unterstützung der Gesellschaft für Freiheitsrechte eine Klage eingereicht, mit der eine Ende-zu-Ende-Verschlüsselung erzwungen werden soll.

Doch unabhängig davon, ob ein HSM verwendet wird oder nicht, stellt sich die Frage, welche Verschlüsselungstechniken und Algorithmen zum Einsatz kommen. Dazu sagt das Gutachten nahezu nichts. Es wird lediglich oberflächlich die HSM-Konstruktion beschrieben und etwa erläutert, wie Postfächer erstellt und deren zugehörige Zertifikate signiert werden.

Darstellung in Geheimdokumenten von Atos laut Secunet mangelhaft

Secunet verweist im Gutachten darauf, dass die hierzu gelieferte Dokumentation von Atos mangelhaft sei: "Vermisst wurde eine genaue Darstellung der kryptographischen Operationen auf die verschiedenen Datenelemente mit Kryptoschutzbedarf. Daher war es nicht immer möglich, die vom BeA ausgeführten kryptographischen Operationen im Detail nachzuvollziehen und sich von der Geschlossenheit und kryptographischen Robustheit des Schutzes der Nachrichten zu überzeugen."

Golem Akademie
  1. First Response auf Security Incidents: Ein-Tages-Workshop
    4. März 2022, Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

Da in letzter Zeit bei anderen Nachrichtenverschlüsselungstechniken einige gravierende und bislang unterschätzte Gefahren aufgetaucht sind - Stichwort Efail - wirkt dies wenig überzeugend.

Weiter heißt es: "Die grundsätzlichen kryptographischen Schritte im Umgang mit Nachrichten konnten anhand der vorgelegten Feinkonzepte und des Kryptokonzeptes nachvollzogen werden." Das Feinkonzept und das Kryptokonzept wiederum sind Dokumente, die Secunet von Atos zur Verfügung gestellt wurden, die aber für die Öffentlichkeit und die Rechtsanwälte nicht zugänglich sind.

Fehlende Zertifikatsprüfung und unkontrollierter Dateiupload

Trotz der spärlichen Details wird durch das Gutachten deutlich, dass eine ganze Reihe von weiteren Sicherheitsproblemen im BeA bestehen, die teilweise bislang auch nicht bekannt waren. So wurde etwa beim Nachrichtenversand auf eine Prüfung der Zertifikate und damit der Empfängerschlüssel verzichtet. Außerdem war es möglich, beliebige Dateien auf dem BeA-Server abzulegen, was zwar die Sicherheit des Systems nicht direkt gefährdet, aber einen Mißbrauch der Infrastruktur ermöglicht. Doch obwohl diese Lücken nicht zu unterschätzen sind, lassen sich die meisten davon relativ einfach mit einem Sicherheitsupdate der Software beheben.

Nach der Vorstellung der Brak soll es jetzt schnell weitergehen. Am 27. Juni werden die Präsidenten der lokalen Rechtsanwaltskammern zu einer Hauptversammlung zusammenkommen. Dort soll die Wiederinbetriebnahme des BeA beschlossen werden. Bereits am 4. Juli soll dann die Client-Software wieder zum Download angeboten werden. Am 3. September würde, wenn es nach den Vorschlägen der Brak geht, das BeA wieder online gehen. Auch die Nutzungspflicht für Rechtsanwälte soll ab dann wieder gelten. Angesichts der ungelösten Probleme dürfte das ein sehr ambitionierter Zeitplan sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Ungelöstes Problem mit Javascript-Code vom Server
  1.  
  2. 1
  3. 2
  4. 3


intnotnull12 24. Jun 2018

Sollte man fürs Protokoll aber mal klar so festhalten: Der Quellcode wurde also *immer...

johnripper 23. Jun 2018

..und am 13.9 wieder offline. Grund: weitere Sicherheitslücken. Ich glaube allen...

Baron Münchhausen. 23. Jun 2018

Zertifikate sind doch nur zum verschlüsseln und authentifizieren notwendig. Wovon du...

hab (Golem.de) 22. Jun 2018

So versteh ich es auch. Ich hab die Brak aber danach explizit nochmal gefragt.



Aktuell auf der Startseite von Golem.de
Fälschung
Wieder Abmahnungen wegen Youporn-Streaming

Diesmal hat sich ein besonders dummer Betrüger an Abmahnungen zum Streaming bei Youporn versucht. In dem Brief stimmt fast keine Angabe.

Fälschung: Wieder Abmahnungen wegen Youporn-Streaming
Artikel
  1. Deutsche Telekom: Netflix, Facebook und Amazon sollen für Netzausbau zahlen
    Deutsche Telekom
    Netflix, Facebook und Amazon sollen für Netzausbau zahlen

    Deutsche Telekom, Vodafone und 11 weitere große europäische Netzbetreiber wollen jetzt Geld von den Content-Konzernen aus den USA sehen.

  2. Telekom-Internet-Booster: Feldtest bringt über 600 statt 50 MBit/s ins Haus
    Telekom-Internet-Booster
    Feldtest bringt über 600 statt 50 MBit/s ins Haus

    Die Telekom beginnt mit 5G DSL. Dafür wird im Haushalt eine Außenantenne benötigt.

  3. 800 MHz: Bundesnetzagentur dürfte nächste Auktion absagen
    800 MHz
    Bundesnetzagentur dürfte nächste Auktion absagen

    1&1 wird sich das neue Vorgehen nicht gefallen lassen. 800 MHz bietet wichtige Flächenfrequenzen auf dem Lande.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Heute ist Cyber Monday • AMD Ryzen 7 5800X 348€ • 3 für 2: Star Wars & Marvel • Bis 300€ Direktabzug auf TVs, Laptops uvm. • Bis 50% auf beyerdynamic + Gratis-Kopfhörer • Cyber Monday bei MM/Saturn (u. a. Xiaomi 11 Lite 5G 299€) • Alternate (u. a. be quiet CPU-Kühler 29,99€) [Werbung]
    •  /